Articles of sécurité

Les UUID aléatoires de Java sont-ils prévisibles?

Je voudrais utiliser une clé primaire sécurisée cryptographiquement pour les données sensibles dans une firebase database – cela ne peut pas être deviné / prévisible et ne peut pas être généré par la firebase database (j’ai besoin de la clé avant que l’object soit persisté). Je comprends que Java utilise un UUID de type 4 […]

Réglage du cookie dans iframe – Domaine différent

Notre site est intégré en tant qu’iframe dans un autre site qui s’exécute sur un domaine différent. Il semble que nous ne pouvons pas configurer les cookies. Quelqu’un a-t-il déjà rencontré ce problème? Des idées?

Hachage de mot de passe, sel et stockage des valeurs de hachage

Supposons que vous ayez la liberté de décider comment les mots de passe hachés devaient être stockés dans un SGBD. Y a-t-il des faiblesses évidentes dans un schéma comme celui-ci? Pour créer la valeur de hachage stockée dans le SGBD, procédez comme suit: Une valeur unique à l’instance du serveur de SGBD faisant partie du […]

Comment faire en sorte que les optimisations du compilateur n’introduisent pas de risque de sécurité?

Je dois écrire un service Windows qui traite à certains moments des données confidentielles (telles que des codes PIN, des mots de passe, etc.). Ces informations sont nécessaires pour une très courte durée: elles sont généralement envoyées presque immédiatement à un lecteur de carte à puce. Considérons ce morceau de code: { std::ssortingng password = […]

L’en-tête HTTP Referer est-il envoyé lors de l’access à une page http à partir d’une page https?

Après quelques tests, je commence à conclure qu’un navigateur n’envoie pas d’en-tête HTTP Referer lorsque l’on clique sur une page http à partir d’une page https. Quelle est la raison de la sécurité pour cela? Est-ce que est défini quelque part dans la norme?

Ne peut pas utiliser un leader ../ pour sortir du répertoire supérieur

J’ai un site Web asp.net avec ce que nous avons un espace d’administration avec la page de connexion pour admin seulement et tout le site est autorisé pour tous – je dois demander comment définir la configuration de sécurité appropriée pour lui que je reçois cette erreur Vous ne pouvez pas utiliser un indicateur .. […]

Comment est-ce que je sers une page non autorisée quand un utilisateur n’est pas dans les rôles autorisés?

J’utilise l’atsortingbut Authorize comme ceci: [Authorize (Roles=”Admin, User”)] Public ActionResult Index(int id) { // blah } Lorsqu’un utilisateur ne se trouve pas dans les rôles spécifiés, je reçois une page d’erreur (ressource non trouvée). J’ai donc mis l’atsortingbut HandleError également. [Authorize (Roles=”Admin, User”), HandleError] Public ActionResult Index(int id) { // blah } Maintenant, il va […]

Où est le format de fichier PEM spécifié?

Je dois parsingr les fichiers .PEM. Je sais que la norme pour le “courrier électronique à confidentialité améliorée” est définie dans les RFC 1421-24. Mais ils ne semblent pas mentionner un texte que je trouve à l’intérieur des fichiers OpenSSL .pem (par exemple “Atsortingbuts clés”, “CERTIFICAT DE BEGIN”, etc.) S’agit-il d’un format spécifique à OpenSSL?

Pourquoi utiliser un Non-Random IV avec CBC Mode une vulnérabilité?

Je comprends le but d’un IV. Plus précisément, en mode CBC, ceci garantit que le premier bloc de 2 messages chiffrés avec la même clé ne sera jamais identique. Mais pourquoi est-ce une vulnérabilité si les IV sont séquentiels? Selon CWE-329, NON-Random IV permet la possibilité d’une attaque par dictionnaire. Je sais que, dans la […]

Comment pouvez-vous empêcher les applications client arbitraires d’utiliser votre API Web anonyme?

Excuses si cela a déjà été demandé et répondu; J’ai regardé autour de moi mais je n’ai pas trouvé exactement ce que je demande. – Supposons que mon application Web sur http://example.com/ utilise une API Web privée et non documentée sur http://api.example.com/ pour récupérer des données, par exemple via XHR ou JSONP. Supposons également que […]